[讨论]学习PE格式遇到的奇怪问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
windsorwoo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	windsorwoo 2 楼学PE没多久，说点我的看法。安装程序大多数是象你说的这样的。可以看成是一个可执行文件和一大堆被压缩过的数据放在一个PE文件里面，PE运行后把连接在后面的数据解压出来放到特定的地方，这就算是安装了。PE运行的时候只检查最后一个节的PointerToRawData + SizeOfRawData不大于文件总长度(这里的文件总长度用GetFileInformationByHandle获得) 2008-5-14 17:11 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 3 楼可以参考论坛的加密解密内幕，里面提到：、某些特殊的PE文件在各个区块后还有一些额外的数据，这些数据不属于任何区段，该段数据不由转载器载入内存，而是程序自己读取的。向你说的暴风的安装文件等打包过的文件，前面的仅为一些解压之类的功能，真正的文件由后面的数据解压出来的。 2008-5-14 18:09 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 4 楼谢谢楼上两位大牛! 2008-5-15 13:52 0
topboyfj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	topboyfj 5 楼应该是附加数据，直接拼在程序后面的。好像 flash生成的exe也是这样的。 2008-5-15 14:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
windsorwoo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	windsorwoo 2 楼学PE没多久，说点我的看法。安装程序大多数是象你说的这样的。可以看成是一个可执行文件和一大堆被压缩过的数据放在一个PE文件里面，PE运行后把连接在后面的数据解压出来放到特定的地方，这就算是安装了。PE运行的时候只检查最后一个节的PointerToRawData + SizeOfRawData不大于文件总长度(这里的文件总长度用GetFileInformationByHandle获得) 2008-5-14 17:11 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 3 楼可以参考论坛的加密解密内幕，里面提到：、某些特殊的PE文件在各个区块后还有一些额外的数据，这些数据不属于任何区段，该段数据不由转载器载入内存，而是程序自己读取的。向你说的暴风的安装文件等打包过的文件，前面的仅为一些解压之类的功能，真正的文件由后面的数据解压出来的。 2008-5-14 18:09 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 4 楼谢谢楼上两位大牛! 2008-5-15 13:52 0
topboyfj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	topboyfj 5 楼应该是附加数据，直接拼在程序后面的。好像 flash生成的exe也是这样的。 2008-5-15 14:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复